<!DOCTYPE html>
<html lang="zh-CN">
<head>
  <meta charset="UTF-8">
<meta name="viewport" content="width=device-width">
<meta name="theme-color" content="#222">
<meta name="generator" content="Hexo 5.4.0">


  <link rel="apple-touch-icon" sizes="180x180" href="/images/apple-touch-icon-next.png">
  <link rel="icon" type="image/png" sizes="32x32" href="/images/favicon-32x32-next.png">
  <link rel="icon" type="image/png" sizes="16x16" href="/images/favicon-16x16-next.png">
  <link rel="mask-icon" href="/images/logo.svg" color="#222">

<link rel="stylesheet" href="/css/main.css">



<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/@fortawesome/fontawesome-free@5.15.4/css/all.min.css" integrity="sha256-mUZM63G8m73Mcidfrv5E+Y61y7a12O5mW4ezU3bxqW4=" crossorigin="anonymous">
  <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/animate.css@3.1.1/animate.min.css" integrity="sha256-PR7ttpcvz8qrF57fur/yAx1qXMFJeJFiA6pSzWi0OIE=" crossorigin="anonymous">

<script class="next-config" data-name="main" type="application/json">{"hostname":"tallgy.gitee.io","root":"/","images":"/images","scheme":"Muse","darkmode":false,"version":"8.8.0","exturl":false,"sidebar":{"position":"left","display":"post","padding":18,"offset":12},"copycode":false,"bookmark":{"enable":false,"color":"#222","save":"auto"},"mediumzoom":false,"lazyload":false,"pangu":false,"comments":{"style":"tabs","active":null,"storage":true,"lazyload":false,"nav":null},"stickytabs":false,"motion":{"enable":true,"async":false,"transition":{"post_block":"fadeIn","post_header":"fadeInDown","post_body":"fadeInDown","coll_header":"fadeInLeft","sidebar":"fadeInUp"}},"prism":false,"i18n":{"placeholder":"搜索...","empty":"没有找到任何搜索结果：${query}","hits_time":"找到 ${hits} 个搜索结果（用时 ${time} 毫秒）","hits":"找到 ${hits} 个搜索结果"}}</script><script src="/js/config.js"></script>
<meta name="description" content="跨域什么是同源 ​        如果两个 URL 的 protocol、port (en-US) (如果有指定的话)和 host 都相同的话，则这两个 URL 是同源。这个方案也被称为“协议&#x2F;主机&#x2F;端口元组”，或者直接是 “元组”。 跨域就是因为浏览器的安全原因，只能执行同源的脚本。对于不是同源的请求将会产生跨域。 对于前后端分离的开发方式，如果不解决跨域，那么我们将无法获取到返回的数据。 解决">
<meta property="og:type" content="article">
<meta property="og:title" content="请求跨域">
<meta property="og:url" content="http://tallgy.gitee.io/2021/11/06/%E6%B5%8F%E8%A7%88%E5%99%A8/%E8%AF%B7%E6%B1%82%E8%B7%A8%E5%9F%9F/index.html">
<meta property="og:site_name" content="tallgy&#39;s blog">
<meta property="og:description" content="跨域什么是同源 ​        如果两个 URL 的 protocol、port (en-US) (如果有指定的话)和 host 都相同的话，则这两个 URL 是同源。这个方案也被称为“协议&#x2F;主机&#x2F;端口元组”，或者直接是 “元组”。 跨域就是因为浏览器的安全原因，只能执行同源的脚本。对于不是同源的请求将会产生跨域。 对于前后端分离的开发方式，如果不解决跨域，那么我们将无法获取到返回的数据。 解决">
<meta property="og:locale" content="zh_CN">
<meta property="article:published_time" content="2021-11-06T05:16:54.000Z">
<meta property="article:modified_time" content="2023-06-25T08:57:29.338Z">
<meta property="article:author" content="tallgy">
<meta property="article:tag" content="随笔">
<meta property="article:tag" content="跨域">
<meta name="twitter:card" content="summary">


<link rel="canonical" href="http://tallgy.gitee.io/2021/11/06/%E6%B5%8F%E8%A7%88%E5%99%A8/%E8%AF%B7%E6%B1%82%E8%B7%A8%E5%9F%9F/">



<script class="next-config" data-name="page" type="application/json">{"sidebar":"","isHome":false,"isPost":true,"lang":"zh-CN","comments":true,"permalink":"http://tallgy.gitee.io/2021/11/06/%E6%B5%8F%E8%A7%88%E5%99%A8/%E8%AF%B7%E6%B1%82%E8%B7%A8%E5%9F%9F/","path":"2021/11/06/浏览器/请求跨域/","title":"请求跨域"}</script>

<script class="next-config" data-name="calendar" type="application/json">""</script>
<title>请求跨域 | tallgy's blog</title>
  




  <noscript>
    <link rel="stylesheet" href="/css/noscript.css">
  </noscript>
</head>

<body itemscope itemtype="http://schema.org/WebPage" class="use-motion">
  <div class="headband"></div>

  <main class="main">
    <header class="header" itemscope itemtype="http://schema.org/WPHeader">
      <div class="header-inner"><div class="site-brand-container">
  <div class="site-nav-toggle">
    <div class="toggle" aria-label="切换导航栏" role="button">
    </div>
  </div>

  <div class="site-meta">

    <a href="/" class="brand" rel="start">
      <i class="logo-line"></i>
      <h1 class="site-title">tallgy's blog</h1>
      <i class="logo-line"></i>
    </a>
  </div>

  <div class="site-nav-right">
    <div class="toggle popup-trigger">
    </div>
  </div>
</div>







</div>
        
  
  <div class="toggle sidebar-toggle" role="button">
    <span class="toggle-line"></span>
    <span class="toggle-line"></span>
    <span class="toggle-line"></span>
  </div>

  <aside class="sidebar">

    <div class="sidebar-inner sidebar-nav-active sidebar-toc-active">
      <ul class="sidebar-nav">
        <li class="sidebar-nav-toc">
          文章目录
        </li>
        <li class="sidebar-nav-overview">
          站点概览
        </li>
      </ul>

      <div class="sidebar-panel-container">
        <!--noindex-->
        <div class="post-toc-wrap sidebar-panel">
            <div class="post-toc animated"><ol class="nav"><li class="nav-item nav-level-1"><a class="nav-link" href="#%E8%B7%A8%E5%9F%9F"><span class="nav-number">1.</span> <span class="nav-text">跨域</span></a></li><li class="nav-item nav-level-1"><a class="nav-link" href="#%E8%A7%A3%E5%86%B3%E5%8A%9E%E6%B3%95"><span class="nav-number">2.</span> <span class="nav-text">解决办法</span></a><ol class="nav-child"><li class="nav-item nav-level-2"><a class="nav-link" href="#CORS-%E8%B7%A8%E5%9F%9F%E8%B5%84%E6%BA%90%E5%85%B1%E4%BA%AB"><span class="nav-number">2.1.</span> <span class="nav-text">CORS 跨域资源共享</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#%E7%AE%80%E5%8D%95%E8%AF%B7%E6%B1%82"><span class="nav-number">2.1.1.</span> <span class="nav-text">简单请求</span></a><ol class="nav-child"><li class="nav-item nav-level-4"><a class="nav-link" href="#%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%AB%AF%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8%E5%93%8D%E5%BA%94%E5%A4%B4%E8%BF%9B%E8%A1%8C%E5%93%8D%E5%BA%94"><span class="nav-number">2.1.1.1.</span> <span class="nav-text">服务器端如何使用响应头进行响应</span></a></li></ol></li><li class="nav-item nav-level-3"><a class="nav-link" href="#%E9%9D%9E%E7%AE%80%E5%8D%95%E8%AF%B7%E6%B1%82"><span class="nav-number">2.1.2.</span> <span class="nav-text">非简单请求</span></a><ol class="nav-child"><li class="nav-item nav-level-4"><a class="nav-link" href="#%E9%A2%84%E6%A3%80%E8%AF%B7%E6%B1%82"><span class="nav-number">2.1.2.1.</span> <span class="nav-text">预检请求</span></a></li></ol></li><li class="nav-item nav-level-3"><a class="nav-link" href="#%E8%B7%A8%E5%9F%9F%E8%AF%B7%E6%B1%82%E6%90%BA%E5%B8%A6Cookie"><span class="nav-number">2.1.3.</span> <span class="nav-text">跨域请求携带Cookie</span></a></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#%E4%BD%BF%E7%94%A8%E4%BB%A3%E7%90%86"><span class="nav-number">2.2.</span> <span class="nav-text">使用代理</span></a></li><li class="nav-item nav-level-2"><a class="nav-link" href="#%E4%BD%BF%E7%94%A8-JSONP"><span class="nav-number">2.3.</span> <span class="nav-text">使用 JSONP</span></a></li><li class="nav-item nav-level-2"><a class="nav-link" href="#%E4%BD%BF%E7%94%A8iframe"><span class="nav-number">2.4.</span> <span class="nav-text">使用iframe</span></a></li></ol></li></ol></div>
        </div>
        <!--/noindex-->

        <div class="site-overview-wrap sidebar-panel">
          <div class="site-author site-overview-item animated" itemprop="author" itemscope itemtype="http://schema.org/Person">
  <p class="site-author-name" itemprop="name">tallgy</p>
  <div class="site-description" itemprop="description">只是一个知识的搬运工</div>
</div>
<div class="site-state-wrap site-overview-item animated">
  <nav class="site-state">
      <div class="site-state-item site-state-posts">
        <a href="/archives/">
          <span class="site-state-item-count">107</span>
          <span class="site-state-item-name">日志</span>
        </a>
      </div>
      <div class="site-state-item site-state-categories">
          <a href="/categories/">
        <span class="site-state-item-count">32</span>
        <span class="site-state-item-name">分类</span></a>
      </div>
      <div class="site-state-item site-state-tags">
          <a href="/tags/">
        <span class="site-state-item-count">74</span>
        <span class="site-state-item-name">标签</span></a>
      </div>
  </nav>
</div>



        </div>
      </div>
    </div>
  </aside>
  <div class="sidebar-dimmer"></div>


    </header>

    
  <div class="back-to-top" role="button" aria-label="返回顶部">
    <i class="fa fa-arrow-up"></i>
    <span>0%</span>
  </div>

<noscript>
  <div class="noscript-warning">Theme NexT works best with JavaScript enabled</div>
</noscript>


    <div class="main-inner post posts-expand">


  


<div class="post-block">
  
  

  <article itemscope itemtype="http://schema.org/Article" class="post-content" lang="zh-CN">
    <link itemprop="mainEntityOfPage" href="http://tallgy.gitee.io/2021/11/06/%E6%B5%8F%E8%A7%88%E5%99%A8/%E8%AF%B7%E6%B1%82%E8%B7%A8%E5%9F%9F/">

    <span hidden itemprop="author" itemscope itemtype="http://schema.org/Person">
      <meta itemprop="image" content="/images/avatar.gif">
      <meta itemprop="name" content="tallgy">
      <meta itemprop="description" content="只是一个知识的搬运工">
    </span>

    <span hidden itemprop="publisher" itemscope itemtype="http://schema.org/Organization">
      <meta itemprop="name" content="tallgy's blog">
    </span>
      <header class="post-header">
        <h1 class="post-title" itemprop="name headline">
          请求跨域
        </h1>

        <div class="post-meta-container">
          <div class="post-meta">
    <span class="post-meta-item">
      <span class="post-meta-item-icon">
        <i class="far fa-calendar"></i>
      </span>
      <span class="post-meta-item-text">发表于</span>

      <time title="创建时间：2021-11-06 13:16:54" itemprop="dateCreated datePublished" datetime="2021-11-06T13:16:54+08:00">2021-11-06</time>
    </span>
      <span class="post-meta-item">
        <span class="post-meta-item-icon">
          <i class="far fa-calendar-check"></i>
        </span>
        <span class="post-meta-item-text">更新于</span>
        <time title="修改时间：2023-06-25 16:57:29" itemprop="dateModified" datetime="2023-06-25T16:57:29+08:00">2023-06-25</time>
      </span>
    <span class="post-meta-item">
      <span class="post-meta-item-icon">
        <i class="far fa-folder"></i>
      </span>
      <span class="post-meta-item-text">分类于</span>
        <span itemprop="about" itemscope itemtype="http://schema.org/Thing">
          <a href="/categories/%E9%9A%8F%E7%AC%94/" itemprop="url" rel="index"><span itemprop="name">随笔</span></a>
        </span>
    </span>

  
</div>

        </div>
      </header>

    
    
    
    <div class="post-body" itemprop="articleBody">
        <h1 id="跨域"><a href="#跨域" class="headerlink" title="跨域"></a>跨域</h1><p><strong>什么是同源</strong></p>
<p>​        如果两个 URL 的 <a target="_blank" rel="noopener" href="https://developer.mozilla.org/zh-CN/docs/Glossary/Protocol">protocol</a>、<a target="_blank" rel="noopener" href="https://developer.mozilla.org/en-US/docs/Glossary/Port">port (en-US)</a> (如果有指定的话)和 <a target="_blank" rel="noopener" href="https://developer.mozilla.org/zh-CN/docs/Glossary/Host">host</a> 都相同的话，则这两个 URL 是<em>同源</em>。这个方案也被称为“协议/主机/端口元组”，或者直接是 “元组”。</p>
<p>跨域就是因为浏览器的安全原因，只能执行同源的脚本。对于不是同源的请求将会产生跨域。</p>
<p>对于前后端分离的开发方式，如果不解决跨域，那么我们将无法获取到返回的数据。</p>
<h1 id="解决办法"><a href="#解决办法" class="headerlink" title="解决办法"></a>解决办法</h1><h2 id="CORS-跨域资源共享"><a href="#CORS-跨域资源共享" class="headerlink" title="CORS 跨域资源共享"></a>CORS 跨域资源共享</h2><figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS</span><br></pre></td></tr></table></figure>



<p>​        跨域资源共享分为了简单请求和非简单请求两种。</p>
<h3 id="简单请求"><a href="#简单请求" class="headerlink" title="简单请求"></a>简单请求</h3><p>当满足下面条件时，就属于简单请求</p>
<ul>
<li>请求方法是下面的方法</li>
</ul>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br></pre></td><td class="code"><pre><span class="line">GET，HEAD，POST</span><br></pre></td></tr></table></figure>

<ul>
<li>请求头字段，除了是用户代理自动设置的字段(user-agent) 以及在 fetch 规范中为禁用首部名称的首部。还有人为设置的字段</li>
</ul>
<figure class="highlight plaintext"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br></pre></td><td class="code"><pre><span class="line">user-agent 等用户代理的字段</span><br><span class="line">fetch 规范禁用的首部名称的首部</span><br><span class="line">允许人为设置的字段。</span><br><span class="line">accept</span><br><span class="line">accept-language</span><br><span class="line">content-language</span><br><span class="line">content-type (text/plain， mutipart/form-data， application/x-www-form-urlencoded)</span><br></pre></td></tr></table></figure>

<ul>
<li>对于任意的 XMLHttpRequestUpload 对象没有注册任何事件监听器。<ul>
<li><strong>XMLHttpRequest.upload 属性返回一个</strong> <code>XMLHttpRequestUpload</code>对象，用来表示上传的进度。</li>
</ul>
</li>
<li>请求没有使用 ReadableStream 对象<ul>
<li>流操作API</li>
</ul>
</li>
</ul>
<h4 id="服务器端如何使用响应头进行响应"><a href="#服务器端如何使用响应头进行响应" class="headerlink" title="服务器端如何使用响应头进行响应"></a>服务器端如何使用响应头进行响应</h4><p>​        首先，请求可以使用请求首部字段 origin 表明请求的来源。这个和refer有点相似，但是origin只是指示了请求来源于哪个站点，并没有包含任何路径信息。</p>
<p>​        然后服务器端通过使用 Access-Control-Allow-Origin 响应头进行响应。</p>
<p>​        Access-Control-Allow-Origin: *， 表明了该资源可以被任何外域访问。如果想只允许 <a target="_blank" rel="noopener" href="http://www.example/">http://www.example</a> 的访问，设置响应头 Access-Control-Allow-Origin: <a target="_blank" rel="noopener" href="http://www.example/">http://www.example</a> 。设置了响应头之后，其他外域不能访问该资源。通过origin来定义是否为外域资源。</p>
<p>​    Access-Control-Allow-Origin，访问控制允许源</p>
<h3 id="非简单请求"><a href="#非简单请求" class="headerlink" title="非简单请求"></a>非简单请求</h3><p>非简单请求相对于简单请求来说，多了一个预检请求 options。</p>
<p>通过预检请求来获取服务器是否允许实际的请求。</p>
<h4 id="预检请求"><a href="#预检请求" class="headerlink" title="预检请求"></a>预检请求</h4><ul>
<li>使用的请求方式是 OPTIONS</li>
<li>会携带了两个请求首部字段<ul>
<li>Access-Control-Request-Method: POST，访问控制请求方式，代表了我实际请求将使用POST方法。</li>
<li>Access-Control-Request-Headers: Content-Type，访问控制请求头，代表了我实际请求将携带这个自定义首部字段。</li>
</ul>
</li>
<li>服务器将根据这两个字段来决定该实际请求是否被允许。</li>
</ul>
<p>服务器的响应头设置</p>
<ul>
<li>Access-Control-Allow-Origin：<a target="_blank" rel="noopener" href="http://foo.example/">http://foo.example</a><ul>
<li>表示了访问控制允许源，允许哪个源进行访问 <a target="_blank" rel="noopener" href="http://foo.example/">http://foo.example</a></li>
</ul>
</li>
<li>Access-Control-Allow-Method：POST，GET，OPTIONS <ul>
<li>访问控制允许方法，比如设置了POST，GET，OPTIONS，表示了允许这三个方法进行访问</li>
</ul>
</li>
<li>Access-Control-Allow-Headers：X-PINGOTHER, Content-Type <ul>
<li>访问控制允许头，就是说，允许后面的请求头携带。这里就是说，允许自定义头X-PINGOTHER的携带。对于Content-type的携带，因为Content-Type是默认只允许三个内容进行允许。</li>
</ul>
</li>
<li>Access-Control-Max-Age：86400<ul>
<li>表示该响应的有效时间是86400s，表示在时间内不需要在进行一次预检请求。</li>
</ul>
</li>
</ul>
<p>去掉对于预检请求的重定向。大部分的浏览器可能对于预检请求的重定向会报告错误。</p>
<p>解决方式，</p>
<ul>
<li>去掉对预检请求的重定向</li>
<li>将实际的请求变换为一个简单请求</li>
<li>或者发出一个简单请求（使用  <a target="_blank" rel="noopener" href="https://developer.mozilla.org/en-US/docs/Web/API/Response/url">Response.url</a> 或 <a target="_blank" rel="noopener" href="https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/responseURL">XHR.responseURL</a>）来判断预检请求的地址，然后再发送真正的请求。使用的是真正的地址。 response.url，这个是响应的url，值为重定向之后的最终URL。</li>
</ul>
<h3 id="跨域请求携带Cookie"><a href="#跨域请求携带Cookie" class="headerlink" title="跨域请求携带Cookie"></a>跨域请求携带Cookie</h3><p>​        因为跨域请求不会发送身份凭证信息，所以需要使用一个特殊的请求头标志位</p>
<p>​         <a target="_blank" rel="noopener" href="https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/withCredentials"><code>XMLHttpRequest.withCredentials</code></a> 设置这个值为true，那么就会将会发送cookie等信息。</p>
<p>​        当然如果设置了这个之后，服务器端需要设置 Access-Control-Allow-Credentials: true, 否则浏览器将不会将相应内容返回给发送者。</p>
<p>​        同时，对于附带了身份凭证的请求，服务器不能将访问控制允许源设置为*，而需要设置为一个具体的域名。</p>
<p>​        并且记住，这个算是第三方的cookie，因为域名不一样。</p>
<h2 id="使用代理"><a href="#使用代理" class="headerlink" title="使用代理"></a>使用代理</h2><p>​        我们可以知道跨域的原因是浏览器的安全策略问题，所以我们可以使用代理的方式来解决跨域的问题。</p>
<p>​        这里的代理有Node的中间件代理和nginx代理</p>
<h2 id="使用-JSONP"><a href="#使用-JSONP" class="headerlink" title="使用 JSONP"></a>使用 JSONP</h2><p>​        这个比较简单的理解，因为JSONP简单来说就是利用了一些标签没有同源限制的漏洞进行的操作。比如script等。</p>
<h2 id="使用iframe"><a href="#使用iframe" class="headerlink" title="使用iframe"></a>使用iframe</h2>
    </div>

    
    
    

    <footer class="post-footer">
          <div class="post-tags">
              <a href="/tags/%E9%9A%8F%E7%AC%94/" rel="tag"># 随笔</a>
              <a href="/tags/%E8%B7%A8%E5%9F%9F/" rel="tag"># 跨域</a>
          </div>

        

          <div class="post-nav">
            <div class="post-nav-item">
                <a href="/2021/11/06/%E9%9A%8F%E7%AC%94/%E7%BD%91%E7%BB%9C/%E7%8A%B6%E6%80%81%E7%A0%81/" rel="prev" title="状态码">
                  <i class="fa fa-chevron-left"></i> 状态码
                </a>
            </div>
            <div class="post-nav-item">
                <a href="/2021/11/06/%E9%9A%8F%E7%AC%94/fetch%E5%8F%91%E9%80%812%E6%AC%A1%E8%AF%B7%E6%B1%82%E7%9A%84%E5%8E%9F%E5%9B%A0/" rel="next" title="fetch发送2次请求的原因">
                  fetch发送2次请求的原因 <i class="fa fa-chevron-right"></i>
                </a>
            </div>
          </div>
    </footer>
  </article>
</div>






</div>
  </main>

  <footer class="footer">
    <div class="footer-inner">


<div class="copyright">
  &copy; 
  <span itemprop="copyrightYear">2023</span>
  <span class="with-love">
    <i class="fa fa-heart"></i>
  </span>
  <span class="author" itemprop="copyrightHolder">tallgy</span>
</div>
  <div class="powered-by">由 <a href="https://hexo.io/" rel="noopener" target="_blank">Hexo</a> & <a href="https://theme-next.js.org/muse/" rel="noopener" target="_blank">NexT.Muse</a> 强力驱动
  </div>

    </div>
  </footer>

  
  <script src="https://cdn.jsdelivr.net/npm/animejs@3.2.1/lib/anime.min.js" integrity="sha256-XL2inqUJaslATFnHdJOi9GfQ60on8Wx1C2H8DYiN1xY=" crossorigin="anonymous"></script>
<script src="/js/comments.js"></script><script src="/js/utils.js"></script><script src="/js/motion.js"></script><script src="/js/schemes/muse.js"></script><script src="/js/next-boot.js"></script>

  





  





</body>
</html>
